2.3.1. Mô hình tấn công
Các mục tiêu bảo mật của giao thức được đề xuất gồm hai phần : xác thực các thành phần tham gia và bảo mật dữ liệu nhạy cảm. Trong 5G-AKA, xác thực các thành phần tham gia gồm các nội dung sau :
- Xác thực giữa thuê bao và HN
- Xác thực giữa thuê bao và SN
- Xác thực giữa HN và SN
Đối với tính bí mật của dữ liệu nhạy cảm gồm các nội dung nghiên cứu sau : - Bảo mật khóa 𝐾𝑆𝐸𝐴𝐹 trong các trường hợp tấn công chủ động/bị động
- Bảo mật SUPI trong các trường hợp tấn công chủ động/bị động
- Bảo mật 𝑅2 và 𝑅3 trong các trường hợp tấn công chủ động/bị động
- Bảo mật khóa chia sẻ trước của USIM
- Bảo vệ chống lại tính không liên kết trong các trường hợp tấn công chủ động/bị động
Tính bảo mật của khóa 𝐾𝑆𝐸𝐴𝐹 và SUPI đều giống như 5G-AKA ngoại trừ việc chúng ta xem xét các cuộc tấn công cả chủ động và bị động. 𝑅2 và 𝑅3 là các số ngẫu nhiên được tạo ra bởi UE và HN, các số này thay thế bộ đếm tăng dần đơn giản, cụ thể là SQN, trong 5G-AKA được tạo ra bởi HN. Tính bí mật của khóa nội bộ SUPI
29
và USIM nhằm mục đích duy trì quyền riêng tư của người dùng cuối. Có thể tóm tắt các vấn đề liên quan đến khả năng của những kẻ tấn công như sau :
- Giao diện giữa SN và HN được coi như một kênh công cộng được thêm vào giao diện vô tuyến giữa UE và HN. Điều này có nghĩa là những kẻ tấn công có thể nghe trộm tất cả các tin nhắn được trao đổi qua các kênh này.
- Mô hình kẻ tấn công đang hoạt động là kẻ tấn công có thể đưa một thông điệp mới vào một kênh công khai hoặc có thể lưu một tin nhắn để sử dụng trong tương lai. Vì cả hai kênh được sử dụng trong giao thức là công khai vì vậy kẻ tấn công có thể hoạt động như HN, SN hoặc UE. Trong thực tế kẻ tấn công chủ động có thể thiết lập một trạm gốc giả để gửi và nhận tín hiệu thông báo và do đó mạo danh SN.
- Kẻ tấn công có thể yêu cầu chạy nhiều phiên bản của giao thức đề nghiên cứu các cuộc tấn công đan xen.
Hạn chế duy nhất của kẻ tấn công là trong việc truy nhập vào khóa hữu hình. Nghĩa là kẻ tấn công không có quyền truy nhập vào khóa chia sẻ trước trong USIM, khóa riêng tư của HN hoặc khóa riêng tư của SN. Trong mô hình AKA 5G hiện tại, kênh giữa SN và HN được cho là an toàn và kẻ tấn công không thể truy nhập được vào các thông điệp được trao đổi qua các kênh này. Ngoài ra, kẻ tấn công được cho là bị động trong nhiều mô hình tấn công. Có nghĩa rằng, kẻ tấn công không thể chỉnh sửa hoặc đưa một thông điệp mới vào kênh.
2.3.2. Các lỗ hổng bảo mật
Một tác nhân độc hại "B" bắt đầu hai phiên 5G-AKA với mạng phục vụ nội hạt gần như cùng lúc. Một phiên bắt đầu bằng cách nghe trộm bản tin phát lại SUCI của người dùng ‘A’ và phiên còn lại là với USIM và SUCI của chính tác nhân độc hại "B". Các phiên chạy song song và dẫn đến tình trạng "race-condition", nếu điều này xảy ra, AUSF sẽ không thể phân biệt được hai phản hồi chứa véc tơ xác thực từ chức năng lưu trữ và quản lý thông tin xác thực (ARPF). Trong trường hợp điều này
30
xảy ra, AUSF và SEAF sẽ tin rằng một tập hợp các véc tơ xác thực và khóa 𝐾𝑆𝐸𝐴𝐹 dành cho người dùng ‘A’. Kết quả là tác nhân độc hại B bây giờ sẽ nhận được khóa 𝐾𝑆𝐸𝐴𝐹 và sử dụng nó để mạo danh người dùng A vào mạng. Hình 2.5 thể hiện trình tự thông điệp của cuộc tấn công [7].
Hình 2. 5: Luồng tấn công của giao thức 5G-AKA
2.3.2.1. Cuộc tấn công phá vỡ
Thuộc tính cụ thể bị vi phạm là tính bí mật của 𝐾𝑆𝐸𝐴𝐹, từ khía cạnh của SEAF và AUSF. Tại đó kết thúc quá trình chạy của giao thức 5G-AKA :
- Chức năng SEAF, AUSF và người dùng sẽ đồng ý và sở hữu khóa gắn mật mã 𝐾𝑆𝐸𝐴𝐹.
- Chức năng SEAF và AUSF tin rằng khóa này là dành cho người dùng chính đáng và không bị xâm phạm.
- Cả SEAF và AUSF đều tin rằng khóa này là bí mật đối với kẻ tấn công.
Do đó, giao thức thiếu một thuộc tính ngăn chặn quan trọng đó là kẻ tấn công có thể xâm phạm khóa dài hạn của người dùng từ đó có thể mạo danh bất kỳ người dùng nào.
31
2.3.2.2. Kịch bản tấn công chi tiết
Cuộc tấn công diễn ra trong hai giai đoạn riêng biệt (có thể về mặt thời gian và thậm chí vể mặt địa lý). Trong giai đoạn đầu, kẻ tấn công nghe trộm và ghi lại một mã định danh vĩnh viễn thuê bao SUPI hợp pháp, còn được gọi là số nhận dạng ẩn SUCI. Trong giai đoạn thứ hai, giai đoạn chính của cuộc tấn công diễn ra [7]. (adsbygoogle = window.adsbygoogle || []).push({});
a) Thiết lập cuộc tấn công
- Người dùng hợp pháp ‘A’ có ID ‘SUPI-A’ đăng ký với mạng thường trú của nó. Chúng ta không quan tâm đến khóa dài hạn 𝐾𝐴 vì cuộc tấn công không yêu cầu quyền truy nhập vào nó. Người dùng chính đáng khởi tạo giao thức 5G-AKA, gửi SUCI-A và ‘HN’ tới một SEAF. Sau đó, người dùng có thể hoàn thành giao thức một cách thông thường.
- Kẻ tấn công nghe trộm các đường truyền vô tuyến công cộng từ trước đó là ghi lại thông điệp chứa SUCI-A và HN.
- Kẻ tấn công mua một USIM hợp pháp từ cùng mạng thường trú của nạn nhân và có ID là SUPI-B. Kẻ tấn công tấn công lớp vật lý, làm tổn hại USIM và trích xuất khóa dài hạn 𝐾𝐵 của USIM mà nó sở hữu.
b) Giai đoạn chính của cuộc tấn công
- Sau giai đoạn thiết lập, kẻ tấn công bắt đầu giao thức 5G-AKA bằng cách phát lại tới SEAF số nhận dạng ẩn SUCI-A đã lấy trộm trước đó. Kẻ tấn công gửi một thông điệp có chứa ‘SUCI-A’ và tên mạng thường trú của người dùng tới SEAF trong mạng phục vụ (có tên SNID).
- Giao thức xử lý như thông thường : SEAF giao tiếp với AUSF theo quy định của mạng thường trú bằng cách gửi thông điệp "5G-AIR". Thông điệp này chứa "SUCI-A" và SNID (ID của mạng phục vụ đang được sử dụng).
- Song song với phiên dành cho SUCI-A, kẻ tấn công bắt đầu phiên 5G-AKA cho USIM nó sở hữu (SUPI-B) với cùng mạng thường trú, thông qua cùng một mạng
32
phục vụ. Kẻ tấn công đã sở hữu khóa dài hạn 𝐾𝐵 của SUPI-B vì nó đã xâm phạm USIM trong giai đoạn thiết lập. Như trước đó, nó bắt đầu phiên 5G-AKA bằng cách gửi ID ẩn (‘SUCI-B’) và tên của mạng thường trú (HN) tới cùng một SEAF song song với phiên còn lại. SEAF rõ ràng và chính xác coi đây là phiên làm việc riêng biệt.
- Như trước, SEAF giao tiếp với AUSF trong mạng thường trú bằng cách gửi thông điệp "5G-AIR" có chứa "SUCI-B" và SNID. Sau đó, AUSF sẽ gửi thông điệp ‘Auth-Info Request’ tới ARPF của mạng thường trú.
- Chức năng SIDF (trong ARPF) lại che giấu SUCI-B thành SUPI-B, sau đó ARPF phản hồi bằng thông điệp ‘Auth-Info Response’ tới AUSF. Thông điệp này chứa các điều khoản bắt nguồn từ khóa 𝐾𝐵 và các điều khoản RAND, SQN và SNID nhưng không tham chiếu đến SUPI hoặc SUCI.
- AUSF nhận được thông điệp ‘Auth-Info Response’ nhưng vì thông điệp không có SUPI SUPI hoặc SUCI được đính kèm, nên AUSF không biết liệu thông báo này có dành cho phiên có ‘SUCI-A / SUPI-A’ hay phiên với ‘SUCI-B / SUPIB’. AUSF có thể tiếp tục dành một phiên hợp pháp cho ‘SUCI-A / SUPI-A’ với thông báo ‘Auth-Info Response’ nhưng thực tế lại dành cho phiên của "SUPI-B".
- Sau đó AUSF tiếp tục thực hiện giao thức gửi thông báo 5G-AIA cho ‘SUPI- A’ tới SEAF, có chứa khóa gắn mật mã 𝐾𝑆𝐸𝐴𝐹 mà ARPF đã tạo cho ‘SUPI-B’ nhưng bây giờ AUSF liên kết nó với ‘SUPI-A’. Như vậy kẻ tấn công đã xâm phạm khóa dài hạn 𝐾𝐵 của SUPI-B, bây giờ kẻ tấn công có thể xây dựng khóa gắn mật mã 𝐾𝑆𝐸𝐴𝐹 mà AUSF và SEAF hiện tin rằng đó là khóa dành cho ‘SUPI-A’.
Có hai vấn đề cần lưu ý :
- Thứ nhất : cuộc tấn công này không thể hoạt động một cách vô tình. Tình huống "race condition" xảy ra một cách lành tính và việc sai véc tơ xác thực vô tình được phân phối đến nhầm người dùng sẽ không gây nên vi phạm về tính chất bảo mật. Một người dùng chính đáng nhận được véc tơ xác thực (Avs) sai sẽ tính toán
33
một MAC khác với giá trị chứa trong véc tơ xác thực nhận được, tại thời điểm này UE sẽ từ chối nỗ lực xác thực và thử lại giao thức.
- Thứ hai : bộ đếm và giá trị SQN không có bất kỳ ảnh hưởng nào đến cuộc tấn công này vì chỉ có ARPF và UE lưu trữ giá trị ‘correct’ của SQN là bao nhiêu. AUSF và SEAF không sử dụng SQN trực tiếp trong bất kỳ tính toán hoặc dẫn xuất nào, do đó nó không kiểm tra xem có khớp với giá trị lưu giữ của người dùng cụ thể. Tất nhiên kẻ tấn công có thể chấp nhận AVs được tạo ra bởi bất kỳ giá trị SQN nào và có thể đoán trực tiếp giá trị SQN đã được sử dụng. Nói cách khác, trong khi bộ đếm được sử dụng trong giao thức để ngăn chặn một số các hình thức phát lại thì chúng lại được sử dụng đúng theo mục đích của kẻ tấn công tiến hành.